14.02.2020 @ 16:23 Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации OSINT, penetration testing, Pentestit, reconnaissance Любой поиск уязвимостей начинается с разведки и сбора информации. Разведка может быть активной: перебор файлов и директорий сайта, использование сканеров уязвимостей, ручной анализ приложения; или пассивной: с использованием различных поисковых систем и интернет-сервисов. В этой статье мы рассмотрим инструменты Kali Linux, а также онлайн-ресурсы, которые можно использовать для анализа защищенности веб-приложений. Читать далее Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации → pentestit-team 21584 Penetration testing Читать дальше >>
29.08.2019 @ 15:11 Тестирование на проникновение или мы медленно снимаем с себя ответственность contract, legislation, penetration testing, pentest, Pentestit, responsibility Под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.е. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (внутренний активный аудит защищённости). Тест на проникновение призван подтвердить или опровергнуть возможность несанкционированного доступа к защищаемой информации, используя найденные в процессе тестирования уязвимости. В процессе проведения тестирования на проникновение не исключены ситуации, когда действия пентестера могут причинить ущерб интересам третьих лиц. Например, когда тестирование проводится в облачной среде. Возникает вопрос: кто будет нести ответственность? Давайте разбираться. В первую очередь, основанием проведения тестирования на проникновение является договор. В силу ст. 432 ГК РФ договор считается заключенным, если сторонами достигнуто соглашение по всем существенным условиям. Для договора на оказание услуг существенными являются условия о предмете, цене и сроке оказания услуг. Следовательно, в обязательном порядке в договоре необходимо согласовать следующие моменты: Предмет договора, включающий в себя объект тестирования и перечень действий, которые необходимо произвести. Здесь следует указать количество сетей, подсетей, компьютеров, диапазон IP-адресов в одной сети. Важно чётко обозначить объект тестирования, исключив те объекты, которые проверять не нужно. Срок оказания услуг — период времени, когда будет проводиться тестирование на проникновение. Стоимость проведения тестирования на проникновение. Читать далее Тестирование на проникновение или мы медленно снимаем с себя ответственность → pentestit-team 8888 Penetration testing Читать дальше >>
21.08.2019 @ 22:43 Мамкин брутер: перебор паролей от SSH до Web crunch, hydra, kali, kali linux 2.0, medusa, patator, Pentestit Brute-force (атака полным перебором) обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису. Рассмотрим инструменты, которые можно использовать для выполнения атак методом перебора: Hydra 8.6, Medusa 2.2, Patator 0.7 и Metasploit Framework 4.17.17-dev, входящие в состав Kali Linux 2019.1. В зависимости от поддерживаемых протоколов будем использовать наиболее подходящие инструменты. Словарь паролей и пользователей сгенерируем самостоятельно с использованием Crunch. Читать далее Мамкин брутер: перебор паролей от SSH до Web → Hekpo 48705 Penetration testing Читать дальше >>
04.06.2019 @ 16:56 NSE или обратная сторона Nmap hacking, kali, kali linux 2.0, Nmap, NSE, penetration testing, pentest, Pentestit, безопасность сетевого периметра Кролики — это не только ценный мех, но и три — четыре килограмма диетического, легкоусвояемого мяса. Сегодня мы рассмотрим один из наиболее универсальных инструментов пентестера — Nmap — культовый кроссплатформенный сканер, который расшифровывается как «Network Mapper». Инструмент сам по себе довольно мощный, но его чаще всего используют в связке с другими утилитами, не предполагая, что, помимо способности сканировать сеть, Nmap имеет массу других возможностей. Основная из них — это использование скриптов с помощью NSE (Nmap Scripting Engine) — компонента Nmap, в основе которого лежит скриптовый язык Lua, напоминающий JavaScript. Именно NSE делает Nmap таким универсальным. Допустим, мы просканировали хост и увидели открытые порты: Читать далее NSE или обратная сторона Nmap → Hekpo 13588 Network security Читать дальше >>
10.05.2017 @ 16:58 The Bug Hunters Methodology. Часть 2, 3. bug-bounty, bug-hunter, Methodology, pentest, web security The Bug Hunters Methodology: обнаружение цели и о составление карты архитектуры веб-приложения. Предыдущие статьи: Философия Читать далее The Bug Hunters Methodology. Часть 2, 3. → xb 9336 Penetration testing Читать дальше >>
27.02.2017 @ 14:13 Аудит Web-приложения – систематизируем тестирование Methodology, pentest, web security В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов. Читать далее Аудит Web-приложения – систематизируем тестирование → leksadin 10077 Penetration testing Читать дальше >>
10.02.2017 @ 13:46 Методология тестирования Web-приложения Methodology, pentest, web security Во время тестирования Web-приложения и поиска уязвимостей в нём очень важно придерживаться некоторой методологии, иначе вы можете упустить что-нибудь важное. Чем крупнее приложение, тем важнее систематизированный подход. Читать далее Методология тестирования Web-приложения → leksadin 20835 Penetration testing Читать дальше >>
27.01.2017 @ 14:57 Инструменты для проведения bruteforce-атак: hydra, medusa, patator bruteforce, hydra, medusa, patator, подбор паролей “Брутфорс (полный перебор, en brute force/Bruteforce, в обиходе просто брут) — метод «грубой силы» или «атака в лоб», перебор паролей, попытка подобрать пароль полным или частичным перебором. Специфика данного метода взлома состоит в том, что он не гарантирует успех подбора правильного пароля, однако процент достижения поставленной цели возрастает от количества паролей которые изначально заданы. Для этого существует несколько утилит — Hydra, Medusa, Patator. Читать далее Инструменты для проведения bruteforce-атак: hydra, medusa, patator → Progsky 34578 Penetration testing Читать дальше >>
30.12.2016 @ 13:37 Прохождение Website Practical Hacking CTF Здравствуйте. В этой статье я рассмотрю площадку для тренировок в области web-хакинга “Practical Website Hacking”. Читать далее Прохождение Website Practical Hacking → leksadin 13952 Penetration testing Читать дальше >>
12.05.2016 @ 11:23 Автоматизация поиска администратора сети powershell, PowerView Повышение прав пользователя в активном каталоге домена является важной частью большинства тестов на проникновение. И хотя получение прав администратора домена/предприятия не является конечной целью тестирования, оно часто делает достижение цели гораздо проще. Читать далее Автоматизация поиска администратора сети → leksadin 8069 Network security Читать дальше >>